[整理]DigiNotar的偽SSL憑證事件

DigiNotar-fraudulent-SSL-certificate.jpg
Google在上週一發現有針對Google SSL網站連線的"中間人攻擊"(man-in-the-middle,MITM)行動,結果調查發現,問題出在DigiNotar社發行給google的SSL憑證有古怪...
An update on attempted man-in-the-middle attacks
隨後就爆出這家荷蘭的網路電子憑證公司"DigiNotar"網站曾經被駭,造成該公司發行了被竄改的偽SSL憑證,這個消息後來也被Google和Microsoft證實
Diginotar Hacked by Black.Spook and Iranian Hackers
Microsoft Security Advisory (2607712) Fraudulent Digital Certificates Could Allow Spoofing
認証局が不正なSSL証明書を発行、Googleユーザーを狙う攻撃が発生
調查發現攻擊行動是伊朗的駭客所為,沒有人知道偽憑證是什麼時候開始發行,但是該公司網站在數年前就被多個駭客入侵,卻完全沒有發覺,所以有問題的憑證可能已經發行給數百個網站,包含不同國家的政府單位和大型網路服務公司
DigiNotar假憑證事件擴大 政府機構也受害

到底偽SSL憑證對網路使用者有多大的危害?
簡單的說,這是讓中間人攻擊更神不知鬼不覺的作用...例如,攻擊者先利用控制DNS server,ISP端,http proxy或是竄改local端的DNS Resolver(resolv.conf或hosts)檔達到劫持連結的目的,但是如果是使用https的連線就會失敗,因為攻擊者並沒有目的地網站的加密金鑰,而偽憑證可以假裝自己是連線的目的地,所以所有加密的內容會在送到目的網站之前被解密
至於這樣大規模的被駭,目的到底是啥? TrendLab分析結果發現,目的完全是針對伊朗人,伊朗的網路環境跟對岸有點像,所有的連線都要經過一道過濾的防火牆,但是https的內容有加密無法過濾,所以用個這招偽SSL憑證法
Diginotar: Iranians – The Real Target
看起來這原來是政府為了規制國內網路言論的手段嗎??但這也顯示什麼樣的加密也有它的漏洞,日後病毒或木馬說不定也會使用這種攻擊方式...

Update(11/9/7):各家瀏覽器針對偽證書的更新
Microsoft update: KB2607712
Firefox: 6.0.2 / 3.6.22
Chrome: 13.0.782.220
trackbackTrackback: http://blog.snow-sugar.net/trackback.php?tbID=1011&extra=493215
taggedTags: 資安
Comments: 0 |Trackback: 0 | Read: 2449 | Print | Download
add nookmarks Bookmarks
Share to:Google BookmarksYahoo! My WebWindows LiveDiggDel.icio.usfacebookfacebookredditslashdotfurltechnoratiMyShare樂多網路書籤UDN共享書籤HemiDemi貼到funPLivedoor ClipFC2 BookmarkHatena::Bookmark百度搜藏
referers Link from
  以下連結並未逐一檢查,點選前請自行留意右方評價!
4 http://www.google.com.tw/
4 http://www.google.com/search
3 Yahoo search: 2607712
3 Google search: DigiNotar 的憑證
1 Google search: DigiNotar 事件 分析
pannya
Write New Comment
Name:(*) Password:
Website: Email:
Validation:(*) Validation Image [Reload] Option:
Content:(*)